Расширения VS Code открывают возможности для атак на цепочку поставок

02.06.2021
Расширения VS Code открывают возможности для атак на цепочку поставок

В популярном редакторе исходного кода Visual Studio Code (VS Code) обнаружили новый вектор набирающей популярность атаки на цепочку поставок. Из-за повышенного спроса на VS Code злоумышленникам представляется привлекательная возможность для атак.

Уязвимости были обнаружены специалистами Synk в часто используемых расширениях редактора. Эксплуатация найденных брешей позволяет хакерам скомпрометировать локальные машины, а также системы сборки и развертывания через IDE разработчика. Аддоны постоянно используются разработчиками для расширения функционала IDE, включая анализ кода, отладку, синтаксический анализ файлов, предварительный просмотр и другого. К проблемным расширениям VS Code, способным привести к серьезным последствиям, в Synk отнесли LaTeX Workshop, Rainbow Fart, Open in Default Browser и Instant Markdown, общее количество скачиваний которых составляет около двух миллионов. Расширения имеют уязвимые реализации локальных веб-серверов.

Сценарии атак, разработанные исследователями, основаны на возможности злоупотребления установленными расширениями путем использования слабых мест в подключаемых модулях для проникновения в систему разработчика. Например, расширение LaTeX Workshop, по умолчанию, при загрузке .TEX файла в редакторе запускает на случайном порте HTTP-сервер и сервер WebSocket. HTTP-сервер, предназначенный для предварительного просмотра PDF-файла в браузере, оказался уязвим для инъекции команд из-за недостаточной проверки данных ввода от клиента WebSocket, поступающего в метод openExternal VS Code API. Таким образом, киберпреступнику удастся выполнить произвольные команды в операционной системе хоста жертвы.

Из-за расширенных полномочий конечные устройства, закрепленные за разработчиками, позволяют им тем или иным образом поддерживать связь со многими частями продукта, чем могут воспользоваться злоумышленники в своих целях. Утечка SSH-ключа разработчика может позволить злоумышленнику получить доступ к системам контроля версий или даже подключиться к производственным серверам и поставить под угрозу безопасность компании. Доступ к базе приведет к раскрытию переменных среды, которые обычно содержат важную информацию: пароли для прокси-серверов, токены для конвейеров CI/CD и так далее.

«Хотя найденные уязвимости касаются реализации локальных веб-серверов, отношение к их защите должно быть по крайней мере не ниже уровня защиты таковых в производственных средах, – предупреждает Виктор Федотов, главный архитектор проекта Инженерного центра Angara Professional Assistance. – Это обусловлено прежде всего ценностью обрабатываемой на них информации, потенциальным объемом ущерба от ее раскрытия и, конечно, взаимосвязью уязвимой машины с другими устройствами в сети, что в свою очередь может использоваться злоумышленниками. Традиционно мерой защиты веб-приложений является применение системы WAF (Web application firewall), которая осуществляет мониторинг и фильтрацию трафика на прикладном уровне модели TCP/IP. Мы предлагаем решение WAF, которое позволяет не только обнаруживать и блокировать кибератаки, но также проводить сканирование уязвимостей веб-приложений на периметре».

Подробную информацию об услуге ACR SERVICE WAF можно найти на нашем сайте в разделе «MSSP», блок «ACR SERVICE WAF», а также получить у менеджеров компании Angara Professional Assistance по e-mail info@angarapro.ru или телефону 8 (495) 269-26-07.